5차 보안 감사 완료 — 76건 취약점 수정

보안 감사 이력

출시 전 총 5차에 걸친 보안 감사를 실시하여 76건의 취약점을 수정했습니다.

1차 보안 감사 — 6건 수정

• Rate Limiting 적용 (로그인 분당 10회, 비밀번호 찾기 시간당 5회)
• 사업자번호 AES-256 암호화 저장 (백업 마스킹)

2차 보안 감사 — 14건 수정

• accessToken 메모리 전용 저장 (localStorage 사용 금지)
• refreshToken HttpOnly Secure SameSite=Strict 쿠키

3차 보안 감사 — 15건 수정

• service_role_key 서버사이드 전용 사용 검증
• Open Redirect 방지 (redirect 파라미터 내부 경로만 허용)

4차 보안 감사 — 26건 수정

• RLS(Row Level Security) 정책 전면 재점검
• 어드민 경로 은닉

5차 보안 감사 — 15건 수정

• 결제 금액 서버사이드 검증 강화
• 최종 취약점 수정

보안 원칙

• accessToken: 메모리(상태관리)에만 저장
• refreshToken: HttpOnly Secure SameSite=Strict 쿠키
• service_role_key: 서버 사이드에서만 사용
• 사업자번호: AES-256 암호화 저장